Хакер #305. Многошаговые SQL-инъекции
Компания Google почти в два раза увеличила вознаграждения за уязвимости в ядре Linux, Kubernetes, Google Kubernetes Engine (GKE) и kCTF. Размер вознаграждения теперь может составить до 91 337 долларов.
В ноябре прошлого года Google уже повышала размер выплат: тогда компания утроила вознаграждения за эксплоиты для ранее неизвестных ошибок в ядре Linux. Идея заключалась в том, что люди смогут обнаружить новые методы эксплуатации ядра, в частности, связанные с работающим в облаке Kubernetes. Тогда исследователям предлагалось скомпрометировать кластер Google kCTF (Kubernetes Capture The Flag) и получить «флаг» в контексте соревнования.
Как теперь сообщают в Google, данную программу поиска багов можно считать успешной: за три месяца компания получила девять отчетов и выплатила исследователям более 175 000 долларов. За это время удалось обнаружить пять 0-day уязвимостей и два эксплоита для свежих 1-day багов. По данным Google, благодаря bug bounty, три из этих проблем уже исправлены и детально описаны, в том числе CVE-2021-4154, CVE-2021-22600 (патч) и CVE-2022-0185 (отчет).
В результате программа будет продлена как минимум до конца 2022 года, а также претерпит ряд изменений. Если в ноябре было решено, что за критические уязвимости эксперты будут получать вознаграждение в размере до 50 337 долларов (в зависимости от серьезности проблемы), теперь максимальное вознаграждение увеличили до 91 337 долларов.
Сумма выплат зависит от нескольких факторов: является ли найденная проблема 0-day уязвимостью, требует ли непривилегированного user namespaces, использует ли какие-то новые методы эксплуатации. К каждому из этих пунктов прилагается бонус в размере 20 000 долларов, что в итоге и поднимает выплату за работающий эксплоит до 91 337 долларов.
«Эти изменения увеличивают стоимость некоторых 1-day эксплоитов до 71 337 долларов США (по сравнению с 31 337 долларами США ранее), а максимальное вознаграждение за один эксплоит теперь равно 91 337 долларам США (по сравнению с 50 337 долларами США ранее)», — сообщают в Google.